2016-09-11 5 views
0

chef_vault의 자격 증명이 필요한 제조법이 있습니다.조리법에서 노드 chef_vault 액세스를 자동으로 부여하는 방법은 무엇입니까?

이 요리법 (또는 필요한 경우 역할)을 노드에 적용하고 요리사가 다음에 실행할 때 볼트 항목의 클라이언트 목록에 노드가 자동으로 추가되도록 할 수 있기를 바랍니다 (요리법 실행)하여 해당 cred를 검색 할 수 있습니다. 이것이 가능한가?

레시피 태그가 노드에 태그를 지정하고 조리법에서 나이프 볼트 업데이트를 실행하는 것에 대해 생각해 보았습니다.하지만 그 작업이 약간 엉망이라 할지라도.

나를 수동으로 처리 할 필요가없는 세련된 솔루션이 있습니까? 또한 볼트 신임을 필요로하는 레시피를 가지고 나를 대신 할당해야합니까?

답변

1

이 작업은 (안전하게) 수행 할 수 없으며 보안 모델 및 chef-vault와 같은 비대칭 사전 암호화 시스템을 사용하는 모든 점에 위배됩니다.

+0

어떻게 암호화 시스템을 정확히 위반합니까? 혼란 스럽습니다. 레서피를 적용한 모든 노드가 액세스 권한을 가지므로 보안 위험이 있습니까? – red888

+1

나는 30 분 동안 https://coderanger.net/talks/secrets/에서 이러한 것들에 관해 이야기하고있다. 그러나 tl; dw는 asym-crypted 사본을 생성하는 것이 분명히 비밀에 대한 액세스를 필요로한다는 것이다. 일반적으로 사람이 볼트에서'-A' 옵션을 통해 암호 해독 액세스 권한을 갖는 대역 내에서 수행됩니다. Chef의 보안 모델로 인해 금고에'-S' 플래그를 사용하는 것은 안전하지 않습니다 (다른 도구에 관한 내용 임에도 불구하고 https://coderanger.net/chef-and-vault/의 시작 부분 참조). 한 대의 서버에 모든 볼트에 대한 액세스 권한을 부여하고 cron에서 '나이프 볼트 새로 고침'을 실행할 수는 있지만 매우 위험합니다. – coderanger